【正文】 器上遠(yuǎn)程運(yùn)行可執(zhí)行文件 應(yīng)用平臺(tái)安全 —— 要求 安全技術(shù)要求之 —— 應(yīng)用軟件安全 應(yīng)用 軟件 ?應(yīng)具備 身份鑒別、用戶管理、訪問(wèn)控制、運(yùn)行審計(jì) 等基本安全功能，并定期進(jìn)行版本維護(hù)及更新。 ? 2023年寧波某政府網(wǎng)站被植入后門(mén) ：黑客利用 IIS6文件名解析漏洞 植入后門(mén)， 可以向 WEB目錄寫(xiě)入任意內(nèi)容 ； ? 2023年 3月杭州某單位門(mén)戶網(wǎng)站被植入后門(mén) ：網(wǎng)站Tomcat服務(wù)后臺(tái)管理員默認(rèn)密碼 (tomcat)未修改且對(duì)外開(kāi)放，黑客上傳后門(mén)程序，可隨意對(duì)網(wǎng)站進(jìn)行文件下載、刪除、修改。 ? 85%的 Oracle數(shù)據(jù)庫(kù) ：都未設(shè) Oralce監(jiān)聽(tīng)服務(wù)的密碼，導(dǎo)致局域網(wǎng)內(nèi)任何人都可隨意關(guān)閉數(shù)據(jù)庫(kù)對(duì)外服務(wù) 。 操作系統(tǒng)安全 —— 案例 ?具體安全要求 ? 定期更新操作系統(tǒng)版本，修補(bǔ)漏洞； ? 關(guān)閉與應(yīng)用無(wú)關(guān)的服務(wù)、啟動(dòng)腳本或網(wǎng)絡(luò)功能； ? 對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別；用戶的身份標(biāo)識(shí)唯一； ? 身份鑒別如采用用戶名 /口令方式，應(yīng)設(shè)置口令長(zhǎng)度、復(fù)雜性和更新周期； ? 修改默認(rèn)用戶的口令或禁止默認(rèn)用戶訪問(wèn)，禁止匿名訪問(wèn)或限制訪問(wèn)的范圍； ? 具有登錄失敗處理功能，當(dāng)?shù)卿浭〈螖?shù)達(dá)到限制值時(shí)，應(yīng)結(jié)束會(huì)話、鎖定用戶； 操作系統(tǒng)安全 —— 要求 ?具體安全要求 ? 實(shí)行特權(quán)用戶的權(quán)限分離，按照最小授權(quán)原則，分別授予不同用戶各自為完成自身承擔(dān)任務(wù)所需的最小權(quán)限，并在他們之間形成相互制約的關(guān)系； ? 對(duì)系統(tǒng)內(nèi)的重要文件（如啟動(dòng)腳本文件、口令文件、服務(wù)配置文件）、服務(wù)、環(huán)境變量、進(jìn)程等實(shí)施訪問(wèn)控制； ? 系統(tǒng)管理員實(shí)施遠(yuǎn)程登錄時(shí)，應(yīng)使用強(qiáng)鑒別機(jī)制，且操作系統(tǒng)應(yīng)記錄詳細(xì)的登錄信息； ? 通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端的登錄； 操作系統(tǒng)安全 —— 要求 ?具體安全要求 ? 對(duì)安全事件進(jìn)行審計(jì)，審計(jì)事件至少包括：用戶管理、審計(jì)功能啟停及審計(jì)策略調(diào)整、權(quán)限變更、系統(tǒng)資源的異常使用、重要的系統(tǒng)操作、重要用戶的各項(xiàng)操作進(jìn)行審計(jì)； ? 審計(jì)記錄應(yīng)包括日期和時(shí)間、觸發(fā)事件的主體與客體、事件的類(lèi)型、事件成功或失敗、事件的結(jié)果等；審計(jì)記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋； ? 用戶鑒別信息及與應(yīng)用信息所在的存儲(chǔ)空間，被釋放或再分配給其他用戶之前應(yīng)完全清除； ? 限制單個(gè)用戶對(duì)系統(tǒng)資源的最大使用額度。 (安全審計(jì) ) 網(wǎng)絡(luò)設(shè)備安全 —— 要求 安全技術(shù)要求之 —— 操作系統(tǒng)安全 操作 系統(tǒng) ?版本更新與漏洞修補(bǔ) ?身份鑒別 ?用戶權(quán)限分配 ?口令質(zhì)量 ?鑒別失敗處理 ?默認(rèn)服務(wù)開(kāi)放 ?終端限制 ?安全審計(jì) ?典型案例 ? 某單位內(nèi)網(wǎng) Windows服務(wù)器 ：內(nèi)網(wǎng)和 Inter隔離，需手工升級(jí)，超過(guò) 6個(gè)月未進(jìn)行系統(tǒng)安全補(bǔ)丁升級(jí)，2023年 3月，因終端感染 病毒，造成服務(wù)器中毒，服務(wù)異常。 網(wǎng)絡(luò)結(jié)構(gòu)安全 —— 要求 安全技術(shù)要求之 —— 網(wǎng)絡(luò)設(shè)備安全 網(wǎng)絡(luò) 設(shè)備 根據(jù)系統(tǒng)安全策略和維護(hù)需求設(shè)置合理的設(shè)備自身安全配置： ?版本更新與漏洞修補(bǔ) ?版本信息保護(hù) ?身份鑒別 ?鏈接安全 ?配置備份 ?安全審計(jì) ?典型案例 ? 某單位 Inter防火墻 ：將防火墻所有管理界面（ Web/Tel/SSH）開(kāi)放至 Inter，且未修改出廠默認(rèn)管理員密碼（天融信： superman/tal） ? 某單位 Cisco核心交換機(jī) ：使用多年的 Cisco交換機(jī)，IOS版本未升級(jí)，存在可遭受拒絕服務(wù)攻擊的漏洞 ? 某單位所有 Cisco交換機(jī) ：未在設(shè)備配置中對(duì)管理員密碼進(jìn)行加密；且配置文件曾被多人拷貝，可通過(guò)配置文件破解管理員密碼。 ? 當(dāng)有重要信息通過(guò)公共網(wǎng)絡(luò)進(jìn)行傳輸時(shí)，應(yīng)在傳輸線路中配置 加密 設(shè)備，以保證信息傳輸?shù)谋Ｃ苄裕? ? 禁止內(nèi)部網(wǎng)絡(luò)用戶未授權(quán)與外部網(wǎng)絡(luò)連接；如提供遠(yuǎn)程撥號(hào)或移動(dòng)用戶連接，應(yīng)在系統(tǒng)入口處配置 鑒別與認(rèn)證 服務(wù)器。 ? 某單位內(nèi)網(wǎng) ：服務(wù)器區(qū)和終端接入?yún)^(qū)僅劃分了不同VLAN，無(wú)訪問(wèn)控制規(guī)則，無(wú)法防止病毒及蠕蟲(chóng)的傳播及內(nèi)部非授權(quán)人員的訪問(wèn) 。 物理環(huán)境安全 —— 設(shè)備及監(jiān)控 安全技術(shù)要求之 —— 網(wǎng)絡(luò)結(jié)構(gòu)安全 網(wǎng)絡(luò) 結(jié)構(gòu) 內(nèi)部結(jié)構(gòu) —— 應(yīng) 根據(jù)應(yīng)用需求在劃分內(nèi)網(wǎng) /外網(wǎng) 、 終端接入?yún)^(qū)/服務(wù)器區(qū)等 區(qū)域 ，并在相關(guān)網(wǎng)絡(luò)設(shè)備中配置安全策略進(jìn)行隔離 ； 外部邊界 —— 應(yīng) 根據(jù)安全需求在 系統(tǒng) 與 Inter、 政務(wù)外網(wǎng)、業(yè)務(wù) 專(zhuān)網(wǎng)等 外部 網(wǎng)絡(luò)的互連處配置網(wǎng)關(guān)設(shè)備實(shí)施訪問(wèn)控制，并對(duì)通信 及 操作事件進(jìn)行審計(jì) 。 ?密碼產(chǎn)品 —— 對(duì)非涉密信息進(jìn)行加密保護(hù)或安全認(rèn)證時(shí)所采用的技術(shù)或產(chǎn)品應(yīng)符合《商用密碼管理?xiàng)l例》的要求 安全三原則（ CIA） ?Confidentiality 保密性 ? 數(shù)據(jù)庫(kù)數(shù)據(jù)泄漏、 …… ?Integrity 完整性 ? 網(wǎng)站篡改、 …… ?Availability 可用性 ? 局域網(wǎng)癱瘓、 …… 主要內(nèi)容 信息安全現(xiàn)狀 1 信息系統(tǒng)安全保障體系 2 安全保障技術(shù)要求 安全保障管理要求 4 3 安全技術(shù)要求之 —— 物理安全 物理 環(huán)境 機(jī)房建設(shè)應(yīng)滿足 ： ? GB/T 2887《電子計(jì)算機(jī)場(chǎng)地通用規(guī)范》 ? GB/T 9361《計(jì)算機(jī)場(chǎng)地安全要求》 ?某信息中心機(jī)房 —— 消防安全隱患 ? 機(jī)房堆放了包裝紙箱、文件柜及雜物，易燃 ? 未配備機(jī)房專(zhuān)用滅火設(shè)備，使用水噴淋滅火 ?某單位機(jī)房 —— 設(shè)備及線路安全 ? 機(jī)房擁擠，主機(jī)擺放隨意：地板上、桌子上 ? 設(shè)備無(wú)標(biāo)簽，布線凌亂，弱電 /強(qiáng)電線路混合 ?某單位機(jī)房 —— 防盜、防塵 ? 機(jī)房臨街，未安裝防盜窗 ? 經(jīng)常開(kāi)窗，機(jī)房?jī)?nèi)存在較多灰塵 物理環(huán)境安全 —— 案例 物理環(huán)境安全 —— 案例 ?具體安全要